V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
thinkm
V2EX  ›  程序员

宝塔面板如何避免被黑?

  •  
  •   thinkm · 303 天前 · 5816 次点击
    这是一个创建于 303 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看到不少说自己用宝塔面板被黑的用户,有大佬说当装上宝塔面板那一瞬间,你就是肉鸡了,此话丁真吗? 222.jpg 我自己的话也是在用宝塔面板,机器用的腾讯云,控制台防火墙只开启了 80,443,和宝塔面板端口这三个端口,其中宝塔面板的端口限制访问来源,来源就是我自己电脑的 IP ,这样的话也避免不了被黑吗?

    52 条回复    2023-06-02 15:21:12 +08:00
    knva
        1
    knva  
       303 天前
    那你把宝塔面板发给他让他破解一下
    bjzhush
        2
    bjzhush  
       303 天前
    自己看看宝塔历史漏洞就知道了
    R18
        3
    R18  
       303 天前
    所有机器都在用,目前安好。
    ysc3839
        4
    ysc3839  
       303 天前 via Android
    对于这种商业软件,本质是信任问题,绝大多数用户不可能拿到完整源代码并仔细检查一遍,所以就看你信不信它的安全性了
    caesar
        5
    caesar  
       303 天前
    关面板 保平台 不过目前为止 我机子还没被黑
    jackmod
        6
    jackmod  
       303 天前
    不开端口,而是翻进机器里面用 localhost 访问。
    国内不知有没有类似 tunnel 的服务可以隐藏所有端口。
    zergmk2
        7
    zergmk2  
       303 天前
    1panel 咋样?
    mineralsalt
        8
    mineralsalt  
       303 天前
    所有服务器都在用, 没被黑过, 也没什么特别的安全措施, 就坚持一点, 不用弱密码
    lcy630409
        9
    lcy630409  
       303 天前
    bt 面板 可以不开放 web 访问啊 你可以再 ssh 中 输入 bt ,有个选项就是关闭 web 访问,剩下 还被入侵了 我觉得不应该甩锅给 bt
    thinkm
        10
    thinkm  
    OP
       303 天前
    @zergmk2 1panel 就是阉割版 docker 面板,不像是 linux 面板
    thinkm
        11
    thinkm  
    OP
       303 天前
    @lcy630409 我是直接把他 web 访问的端口仅限自己 IP 能访问
    monkey110
        12
    monkey110  
       303 天前
    装的东西越少越安全,有些漏洞不曝光根本不知道,用了就别怕被黑。
    ayconanw
        13
    ayconanw  
       303 天前
    如果你指的是被宝塔官方偷窥,那估计没办法防止,但也没有切实的证据官方有做出这类行为
    如果指的是被其他人黑,那就把安全设置先做好,然后经常关注漏洞消息即可

    我服务器上用了很久,也没出过问题
    crazyweeds
        14
    crazyweeds  
       303 天前   ❤️ 1
    生产机器一直最小化,不要偷懒,迟早找你讨债。
    GTim
        15
    GTim  
       303 天前
    简单啊,要用的时候再开端口号,不用的时候关闭
    dianso
        16
    dianso  
       303 天前   ❤️ 1
    宝塔的漏洞和后门其实一样

    被发现了就是漏洞,然后修复,推送给用户。
    someonedeng
        17
    someonedeng  
       303 天前   ❤️ 1
    不立危墙之下
    tony1016
        18
    tony1016  
       303 天前
    用 tailscale 访问
    thinkm
        19
    thinkm  
    OP
       303 天前
    @ayconanw 不是怕官方,是怕其他人黑
    SelectLanguages
        20
    SelectLanguages  
       303 天前
    说的好像自己配置比 bt 还安全似的,觉得不安全可以不用,有想要又怕不安全的使用后关闭 web 访问。
    wu529778790
        21
    wu529778790  
       303 天前
    不用宝塔不行么,现在有个开源的 1panel 啊
    totoro52
        22
    totoro52  
       303 天前
    关掉面板入口或者开启 base 认证, 关闭一些没必要的端口, 基本不会被黑,主要还是宝塔喜欢做一些骚操作导致被黑,参考上次的 phpmyadmin
    thinkm
        23
    thinkm  
    OP
       303 天前
    @wu529778790 1panel 体验一言难尽,根本不是 linux 面板,而是阉割版 docker 面板
    tengxunkuku
        24
    tengxunkuku  
       303 天前 via Android   ❤️ 1
    如果别人曾经用你的 ip 实施了违法行为,而你刚好实名了宝塔,那么喝茶跑不掉
    Huelse
        25
    Huelse  
       303 天前
    无论是数据库还是 ssh 都用密钥,面板用随机强密码,基本无忧
    cdlnls
        26
    cdlnls  
       303 天前   ❤️ 3
    没有明确的证据说是 bt 有后门,但是不排除可能有某些没有被公开的漏洞。
    我是这么认为的,主要宝塔的用户大多数是对 linux 系统不太熟悉的和刚刚接触服务器的用户,这里面安全意识差的人占比不在少数。弱密码甚至无密码暴露端口的,各种没有审计的第三方脚本,这种被黑真的是时间问题。
    mineralsalt
        27
    mineralsalt  
       303 天前
    @tengxunkuku #24 你把警察当傻子啊, ipv4 当身份证用么
    kingjpa
        28
    kingjpa  
       303 天前
    大可不必,
    数百万安装量 ,国内占有率第一,而且比其他所有同行之和都要多。
    被黑要找到原因,就事论事。bt 本质就是 ptyhon 脚本编写的运维自动化工具,它只能帮你快捷安装环境,但代码安全防火墙这些还的靠自己,别自己上传功能没做好被提权那用什么工具都扯淡。
    thinkm
        29
    thinkm  
    OP
       303 天前
    @kingjpa 客观
    tivizi
        30
    tivizi  
       303 天前
    可以在服务器上装代理工具,把服务端口通过 HTTPS(443) 暴露出来,其他端口不接受任何流量

    https://github.com/jpillora/chisel
    https://github.com/rkonfj/toh
    follow
        31
    follow  
       303 天前
    需要时打开端口,启动 bt ;不用时关闭端口,
    feaul
        32
    feaul  
       303 天前
    之前爆出了好多的漏洞,可以去全球主机论坛看看,之前报的漏洞好多是从这上面爆出来,奈何没有技术,只能依赖于宝塔了,有技术早就不用宝塔了
    Bingchunmoli
        33
    Bingchunmoli  
       303 天前 via Android
    被黑也很多,有很多低级漏洞,不建议使用,也可以用完关闭
    dayeye2006199
        34
    dayeye2006199  
       302 天前 via Android
    只规定本地访问面板。
    SSH 只允许密钥访问。
    管理的时候开 SSH 转发端口,访问本地面包
    edk24
        35
    edk24  
       302 天前
    说到底不是宝塔安不安全, 而是你的安全措施有没有到位; 即便是不用宝塔也需要做的事情 (如果追求安全的话)

    1. 关闭 ssh 密码登录, 使用秘钥登录
    2. 关闭外网访问, 仅留 80 443
    3. 配置一台 vpn 云服务器, 用来 ssh/访问宝塔

    要是再加个堡垒机 就更安全了
    lhbc
        36
    lhbc  
       302 天前 via Android   ❤️ 2
    不太明白,随便装个 docker + portainer ,不比这好用多了?
    rekulas
        37
    rekulas  
       302 天前
    很简单,我是直接把宝塔端口加上 token 验证,比如 bt-token: 3a9266809e20ba9221307fc9e0549601
    没有 token 一律返回 502 ,再黑的黑客也没办法,只有从其他软件着手破解,但这跟宝塔就无关了,端口安全做好基本稳了
    ClarkAbe
        38
    ClarkAbe  
       302 天前 via Android
    你这个问题...不装宝塔面板就行 (
    xyholic
        39
    xyholic  
       302 天前
    刚装上最新的可能暂时没问题,漏洞都被修复了,但是保不齐未来再爆 0day ,不安全是持续性的
    再差点可能现在也有师傅手里捂着 0day 呢
    thinkm
        40
    thinkm  
    OP
       302 天前
    @xyholic 是不是我不开宝塔的端口就没问题?
    heiybb
        41
    heiybb  
       302 天前
    外部端口只留 wireguard
    然后 all traffic over wireguard
    thinkm
        42
    thinkm  
    OP
       302 天前
    @heiybb 80 端口也要 wireguard 吗
    FakerLeung
        43
    FakerLeung  
       302 天前
    @lhbc 主要是针对比如 nginx 配置啊这些,阁下如何应对?
    heiybb
        44
    heiybb  
       302 天前
    @thinkm #42 80 443 可以开
    反正 WG 的作用就是保证只有你能访问到宝塔的端口仅此而已
    lhbc
        45
    lhbc  
       302 天前
    @FakerLeung GitHub 托管直接 docker 拉起啊
    FakerLeung
        46
    FakerLeung  
       302 天前
    @lhbc #45 没看懂😂
    lhbc
        47
    lhbc  
       302 天前 via Android
    @FakerLeung 用 git 管理你的 nginx 配置,写个 dockerfile
    一键更新
    FakerLeung
        48
    FakerLeung  
       302 天前
    @lhbc #47 就是仓库托管 nginx 的 dockerfile ,修改后直接 webhook 或者其他方式通知到机器的 docker 那边自动更新,nginx 的配置直接丢 docker 里面了,只暴露 80,443
    ZhiyuanLin
        49
    ZhiyuanLin  
       302 天前
    面板只开给内网,VPN 访问,就好了。
    ZhiyuanLin
        50
    ZhiyuanLin  
       302 天前
    不喜欢 VPN 的可以 TLS Client Cert 认证,没客户端证书过不了 TLS Termination 。
    msmkls
        51
    msmkls  
       302 天前
    @ZhiyuanLin 我觉得也是,VPN 或者证书认证安全性会好些
    aaaaaaaaa
        52
    aaaaaaaaa  
       300 天前 via iPhone
    楼上说只把面板开放给内网的,是不是忘了宝塔本身就是个贼啊?

    忘记上传服务器绑定域名的事了?
    忘记通过 webrtc 探测服务器主人 ip 的事了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3223 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 82ms · UTC 13:54 · PVG 21:54 · LAX 06:54 · JFK 09:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.